Gilt der AI Act auch für mein 30-Personen-Unternehmen?

Ja, grundsätzlich gilt er für alle, die KI-Systeme entwickeln, anbieten oder einsetzen — unabhängig von der Unternehmensgröße. In der Praxis bist du als Mittelständler aber meist Anwender, nicht Anbieter, und die meisten Pflichten richten sich an Anbieter von Hochrisiko-Systemen. Was bei dir konkret bleibt: Transparenzpflichten (Mitarbeiter und Kunden über KI-Einsatz informieren), Dokumentation der Use-Cases, AI-Literacy-Schulungen für das Team. Das ist seit Februar 2025 verpflichtend. Strafbewehrt, aber im normalen Mittelstandsalltag gut machbar.

Bin ich Anbieter oder Anwender?

Anbieter ist, wer ein KI-System unter eigenem Namen in Verkehr bringt. Anwender ist, wer ein bestehendes System nutzt. Wenn du ChatGPT, Claude oder Microsoft Copilot im Unternehmen einsetzt, bist du Anwender — und damit deutlich weniger reguliert. Erst wenn du selbst ein KI-Produkt entwickelst und Kunden anbietest (etwa eine Software mit eingebautem Modell), wirst du zum Anbieter. Achtung: Wer ein bestehendes Modell so anpasst, dass die Zweckbestimmung sich ändert, gilt rechtlich auch als Anbieter.

Was sind Hochrisiko-Systeme konkret?

Im Mittelstand am häufigsten relevant: KI im Bewerbungsprozess (Lebenslauf-Screening, automatische Vorauswahl), KI in der Kreditvergabe, biometrische Identifikation, KI für Mitarbeiterbewertung und -kontrolle, sicherheitsrelevante Komponenten in Produkten. Wer solche Systeme einsetzt, hat erweiterte Pflichten: Risikomanagement, Datenqualität, menschliche Aufsicht, Logging. Wer solche Systeme nicht einsetzt — und das sind die meisten — kommt mit den allgemeinen Transparenz- und Schulungspflichten aus.

Was passiert bei Verstößen?

Bußgelder bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes (für verbotene Praktiken). Für Verstöße gegen Hochrisiko-Pflichten bis 15 Mio. Euro / 3 Prozent. Für falsche Angaben gegenüber Behörden bis 7,5 Mio. / 1,5 Prozent. Klingt wie DSGVO-Niveau und ist es auch. In der Praxis werden Behörden zuerst Anbieter großer Modelle und Hochrisiko-Anwender prüfen — der normale Mittelständler mit Standard-Tools steht nicht im Fokus. Trotzdem solltest du Dokumentation und Schulung sauber haben.

Müssen wir wirklich alle Mitarbeiter schulen?

Ja. Artikel 4 schreibt seit Februar 2025 vor, dass Anbieter und Anwender für ausreichende KI-Kompetenz sorgen. Was 'ausreichend' heißt, definiert das Gesetz nicht starr — es muss zur Rolle passen. Eine 60-Minuten-Schulung für die Belegschaft, die KI-Tools nutzt, plus eine vertiefte Schulung für IT und Verantwortliche, reicht in den meisten Fällen. Wir bieten genau das als Workshop an. Wichtig: dokumentieren, dass die Schulung stattgefunden hat — Teilnehmerliste, Inhalte, Datum.

EU AI Act: Was der Mittelstand wirklich wissen muss

Worum es beim AI Act geht

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Seit dem 1. August 2024 ist sie in Kraft, ihre Pflichten greifen gestaffelt bis 2027. Anders als die DSGVO geht es nicht um den Schutz personenbezogener Daten, sondern um den Schutz von Grundrechten, Sicherheit und Vertrauen beim Einsatz künstlicher Intelligenz. Der Ansatz: je höher das Risiko, desto strenger die Pflichten.

Für dich als Mittelständler bedeutet das im Kern: Nicht jede KI-Nutzung ist gleich reguliert. Wer ChatGPT für E-Mail-Entwürfe einsetzt, hat andere Pflichten als wer ein KI-System zur Personalauswahl betreibt. Das Gesetz unterscheidet vier Risiko-Klassen, und nur eine davon — die Hochrisiko-Klasse — bringt wirklich Aufwand mit sich. Das ist eine Einordnung, kein Rechtsrat. Frag im Zweifel einen Fachanwalt.

Die vier Risiko-Klassen

Verbotene Praktiken (Artikel 5). Seit 2. Februar 2025 verboten. Dazu gehören: Social Scoring von natürlichen Personen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit engen Ausnahmen), biometrische Echtzeit-Fernidentifikation im öffentlichen Raum, gezielte Manipulation von Verhalten zum Schaden Einzelner, Predictive Policing nur auf Basis von Profiling. Im normalen Mittelstand kommen diese Praktiken so gut wie nie vor — wer sie aber einsetzt, riskiert die höchsten Bußgelder. Wenn du KI-gestützte Mitarbeiterüberwachung erwägst, lass das vorher juristisch prüfen.

Hochrisiko-Systeme (Artikel 6 und Anhang III). Hier liegt der praktische Schwerpunkt für viele Mittelständler. Hochrisiko sind unter anderem: KI in Personalentscheidungen (Recruiting, Bewertung, Kündigung), KI in der Bonitätsbewertung, KI in kritischen Infrastrukturen, KI in der Berufsausbildung mit Auswirkungen auf den weiteren Bildungsweg, biometrische Kategorisierung. Anbieter müssen ein Konformitätsbewertungsverfahren durchlaufen, ein Risikomanagement etablieren, Datenqualität sichern, technische Dokumentation führen, menschliche Aufsicht sicherstellen, robustes Logging einsetzen. Anwender solcher Systeme haben weniger, aber doch substantielle Pflichten — etwa Logs aufbewahren und Beschäftigte informieren.

Begrenztes Risiko. Hierunter fallen Systeme mit Transparenzpflicht: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Inhalte (Deepfakes, synthetische Texte) müssen kenntlich gemacht werden, Voice Agents kündigen sich am Telefon an. Wer im Mittelstand KI-Chatbots oder generative KI für Marketing einsetzt, landet meist hier. Aufwand: überschaubar — ein klarer Hinweis genügt in den meisten Fällen.

Minimales Risiko. Spam-Filter, Rechtschreibprüfung, KI in Spielen, Empfehlungssysteme im Onlineshop. Der größte Teil der KI-Nutzung im Alltag. Hier gibt es keine spezifischen Pflichten, lediglich freiwillige Verhaltenskodizes. Wer eine ChatGPT-Lizenz zur Texterstellung kauft, fällt typischerweise hierunter — solange er die Outputs nicht in geschäftskritischen Bereichen ungeprüft einsetzt.

Die Phasen bis 2027

Wir sehen bei Mittelständlern oft Verwirrung über die Stichtage. Hier die Übersicht, Stand Mai 2026:

2. Februar 2025: Verbotene Praktiken sind gesperrt. AI-Literacy-Pflicht (Artikel 4) gilt: Mitarbeiterschulungen müssen begonnen haben.
2. August 2025: Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI, etwa GPT-5, Claude Opus 4.7, Llama 4) greifen. Für Anwender heißt das vor allem: Anbieter müssen Transparenz über Trainingsdaten, Urheberrecht, Modellfähigkeiten herstellen.
2. August 2026: Pflichten für Hochrisiko-Systeme (Anhang III) werden voll wirksam. Behörden können prüfen.
2. August 2027: Pflichten für Hochrisiko-Systeme aus regulierten Produkten (Anhang I, etwa Medizinprodukte) greifen.

Wir stehen jetzt — Mai 2026 — drei Monate vor dem großen Stichtag für Hochrisiko-Anwendungen. Wer in diesem Bereich aktiv ist, sollte Dokumentation und Prozesse jetzt finalisieren.

Was du im Mittelstand jetzt konkret tun solltest

Bei unseren Kunden hat sich folgende Reihenfolge bewährt:

Schritt 1: Inventar. Liste alle KI-Systeme im Unternehmen — auch die, die du nicht selbst angeschafft hast (ChatGPT-Privataccounts der Mitarbeiter, KI-Funktionen in bestehender Software). Pro System: Was tut es? Welche Daten verarbeitet es? Wer nutzt es? Welcher Anbieter? Welche Risiko-Klasse? Das Inventar ist die Grundlage für alles weitere.

Schritt 2: Klassifikation. Ordne jedes System einer Risiko-Klasse zu. In 80 Prozent der Fälle landest du bei “minimales Risiko” oder “begrenztes Risiko” — beides gut handhabbar. Wenn ein Hochrisiko-System dabei ist (typischerweise im Recruiting, Personalmanagement oder bei Kreditscoring), braucht es eine eigene Dokumentationsmappe.

Schritt 3: Schulung. Plane eine AI-Literacy-Schulung für alle Mitarbeiter, die KI-Tools nutzen. Inhalte: Was ist KI, was nicht? Halluzinationen verstehen. Datenschutz beim Prompting. Was darf in den Chatbot, was nicht. Wir bieten das als 90-Minuten-Workshop an, gerne auch remote. Teilnehmerliste dokumentieren.

Schritt 4: Transparenz. Wo KI eingesetzt wird, die mit Kunden oder Mitarbeitern interagiert (Chatbots, Voice Agents, KI-generierter Content), klare Hinweise hinterlegen. “Du sprichst mit einem KI-Assistenten von …” reicht in den meisten Fällen.

Schritt 5: Verantwortlichkeit. Benenne eine Person, die im Unternehmen für KI-Compliance zuständig ist — analog zum Datenschutzbeauftragten. Muss kein neuer Job sein, kann an IT-Leitung oder Compliance-Funktion andocken.

Verzahnung mit DSGVO

AI Act und DSGVO koexistieren. Wer personenbezogene Daten in einem KI-System verarbeitet, muss beides erfüllen — Rechtsgrundlage und Zweckbindung nach DSGVO, AI-Act-Pflichten zusätzlich. Ein KI-System für Recruiting-Vorauswahl ist gleichzeitig DSGVO-relevant (personenbezogene Daten, automatisierte Einzelfallentscheidung nach Artikel 22) und AI-Act-Hochrisiko. Beides muss dokumentiert werden, idealerweise in einem konsolidierten Verfahrensverzeichnis.

Mehr dazu auf unserer Seite DSGVO und KI.

Unsere ehrliche Einschätzung

Der AI Act ist anspruchsvoll, aber er ist kein Innovationskiller. Wer im Mittelstand KI verantwortungsvoll einsetzt, kommt mit den Pflichten gut klar. Das größte Risiko sehen wir nicht in den Bußgeldern, sondern in Reputationsschäden bei schlecht gemachten KI-Einsätzen — etwa Recruiting-Bias, der öffentlich wird, oder Chatbots, die Falschauskünfte geben.

Bei unseren Kunden bauen wir Compliance pragmatisch auf: ein zweistündiger Workshop zur Inventur, dann gemeinsam ein 5-bis-10-Seiten-Dokument, das die wichtigsten Systeme abdeckt und für Audits ausreicht. Mehr ist im typischen Mittelstand selten nötig. Das ist eine Einordnung, kein Rechtsrat. Wenn dein Use-Case kritisch ist (Hochrisiko, sensible Branche, Patienten- oder Mandantenbezug), holst du dir eine spezialisierte Kanzlei dazu — wir vermitteln gerne.